Credit-Scoring und KI-VO

Die KI-VO unterscheidet zwischen 4 Risiko-Klassen:

  1. Inakzeptables Risiko (Art. 5 KI-VO)
  2. Hoch-Risiko (Art. 6 KI-VO, Anhang III)
  3. Höheres Risiko
  4. Akzeptables Risiko

Für Anbieter und Betreiber (Nutzer) von KI-basierten Credit-Scoring-Systemen kommen hier 1. (Inakzeptables Risiko) und 2. (Hoch-Risiko) zum Tragen.

Bitte beachten: Natürliche Personen sind nicht nur Verbraucher, sondern können auch B2B-Kunden sein, z.B. ein Einzelunternehmen, bis hin zur so genannten 1-Mann-GmbH.

Inakzeptables Risiko:

Anfang Februar hat die Europäische Kommission ihre Leitlinien für verbotene KI-Praktiken veröffentlicht.

https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act

Gemäß ihrer Leitlinien sieht die Kommission KI-gestütztes Social Credit Scoring grundsätzlich als verbotene Praktik iSd Art. 5 Abs. 1 lit. c KI-VO an. Danach ist das Inverkehrbringen, die Inbetriebnahme oder die Verwendung von KI‑Systemen zur Bewertung oder Einstufung von natürlichen Personen oder Gruppen von Personen über einen bestimmten Zeitraum auf der Grundlage ihres sozialen Verhaltens oder bekannter, abgeleiteter oder vorhergesagter persönlicher Eigenschaften oder Persönlichkeitsmerkmale verboten, wobei die soziale Bewertung zu einer Schlechterstellung oder Benachteiligung führen muss.

Social-Credit-Scoring ist damit verboten. In der Praxis werden aber eine ganze Reihe Scoring-relevanter Daten erfasst, von denen viele auch keinen Sozialbezug haben werden, sondern z.B. einfach nur zahlungsverhaltensrelevant sind. Das wird den Einsatz von KI schwierig machen (s. insbes. Rn. 154, 157 ff. der Leitlinien). Wir werden hier wohl wieder mit dem Begriff der Maßgeblichkeit arbeiten.

(s. Urteil des EuGH zur Schufa vom 7. Dezember 2023 – c-634/21 https://curia.europa.eu/juris/document/document.jsf;jsessionid=D4B9B827E6B85ED3FD46AAE134311A8C?text=&docid=280426&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=13537004)

Wenn also die Verarbeitung der Daten mit sozialem und persönlichem Bezug („social behaviour or known, inferred or predicted personal or personality characteristics„, Rn 155) maßgeblich für die Credit-Entscheidung ist, dann wird man von einer verbotenen Praktik ausgehen müssen. Ob es für den Begriff der Maßgeblichkeit einen Schwellenwert gibt (z.B. über 50%), ist bisher noch nicht entschieden.

Hoch-Risiko-Systeme:

Auch wenn man nicht unter Art. 5 KI-VO fällt, kommt für Anbieter und Betreiber von KI-Systemen, die Kreditbeurteilungen vornehmen, Art. 6 KI-VO zum Tragen. Gemäß Anhang III Nr. 5 lit. b KI-VO gelten KI‑Systeme als Hoch-Risiko-Systeme,

die bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen verwendet werden sollen, mit Ausnahme von KI‑Systemen, die zur Aufdeckung von Finanzbetrug verwendet werden.

Die besonderen Pflichten richten sich nach Art. 26 KI-VO, z.B. die Sicherstellung einer menschlichen Aufsicht. Ergänzend wird die Durchführung einer Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO erforderlich.

Schlüsselworte: Credit Scoring und KI-VO

RAin Stephanie Iraschko-Luscher, 25.02.2025

 Vorheriger Artikel 
Nächster Artikel
Zurück zur Artikelübersicht